Imprimer

Veille réglementaire

Jeudi 06 Aout 2015

Arrêté du 24 juillet 2015 portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé "FranceConnect"

Ce texte prévoit la création, par la direction interministérielle des systèmes d'information et de communication (DISIC), d’un téléservice dénommé FranceConnect. Le téléservice a pour finalité de proposer aux usagers de s'identifier et de s'authentifier, auprès de fournisseurs de téléservices, au moyen de dispositifs mis en œuvre par des fournisseurs d'identité qui garantissent l'identification électronique de la personne concernée, partenaires de « FranceConnect ».

FranceConnect
repose sur une fédération d'identités et permet :

  • la simplification des démarches et formalités administratives effectuées par les usagers et d'en assurer la traçabilité et le suivi : un usager qui souhaite utiliser un téléservice peut choisir de se connecter à ce fournisseur de service via le dispositif, en cliquant sur le bouton FranceConnect ; le dispositif propose alors à l'usager une liste de fournisseurs d'identité et le redirige vers celui de son choix, auprès duquel l'usager s'authentifie en utilisant les moyens d'authentification qu'il possède déjà pour son compte ; le fournisseur d'identité communique en retour à FranceConnect des éléments d'identité obligatoires ("identité pivot" composée des nom, prénom(s), genre, date et lieu de naissance) ainsi que, le cas échéant, des données facultatives supplémentaires requises par le fournisseur de service ; cette identité pivot est ensuite systématiquement certifiée par FranceConnect au regard du RNIPP, auquel ne peut accéder aucun fournisseur d'identité dans le cadre du présent dispositif; une fois cette certification effectuée, FranceConnect calcule un alias technique avec ces données d'identité ; cet alias technique est propre à chaque usager, régénéré à chaque connexion, et connu uniquement de FranceConnect ; cet alias permet enfin de générer la clé de fédération, qui correspond à l'identifiant de l'usager pour le fournisseur de service initialement requis ou de retrouver une telle clé si elle existe déjà ; cette clé permet l'accès audit service, auquel l'usager peut dès lors directement accéder ; ce mécanisme permet ainsi à l'usager d'utiliser des téléservices différents sans avoir à s'identifier à nouveau auprès de chacun d'eux et s'inscrit ainsi dans le cadre d'une logique de "guichet unique" de nature à rationaliser les accès aux services publics ;
  • de sécuriser le mécanisme d'échange d'informations entre autorités administratives prévu par l'article 16 A de la loi du 12 avril 2000 ; le téléservice assure uniquement une fonction de mise en relation des autorités administratives, sans traiter des données susceptibles d'être échangées dans le cadre de l'article 16 A de la loi du 12 avril 2000 ;
  • aux usagers, d'accéder à des téléservices d'autres Etats membres en respectant les dispositions prévues par le règlement du 23 juillet 2014, notamment les exigences relatives au niveau de garantie requis par le téléservice concerné.


L'adhésion au téléservice FranceConnect est facultative. Le texte prévoit les catégories de données à caractère personnel enregistrées pour la gestion de l'identification et pour la gestion de la traçabilité des accès. L'adhésion au téléservice par les partenaires est subordonnée à l'envoi préalable à la CNIL d’une déclaration dite de conformité. Toutefois, cette déclaration ne couvre pas la mise en œuvre des traitements de données à caractère personnel liés aux services propres de chaque partenaire qui restent soumis à l'accomplissement des formalités préalables prévues par la loi du 6 janvier 1978.

Les données à caractère personnel relatives à la gestion de l'identification sont conservées pendant la durée de la session de l'usager. Au-delà de cette durée, elles sont détruites sans délai. Les données relatives à la gestion de la traçabilité des accès sont supprimées, en l'absence de connexion de l'usager pendant une durée de six mois. Les clés de fédération et l'alias technique unique propre au système sont supprimés, en l'absence de connexion de l'usager pendant une durée de trente-six mois. Pour les données visant à assurer la sécurisation du mécanisme d'échange d'informations entre autorités administratives, la durée de conservation est corrélative à la finalité propre de chaque téléservice.

Légifrance

ShareThis